Kunde loggt sich über meinen Link als Admin ein!?

[remo]

Hallo ein Kunde hat sich über meinen Produkt Link, bei legen in den Warenkorb auf einmal als ADMIN eingeloggt. Ohne ein PW einzugeben. In der URL war auch keine MODsid. Das ist echt erschreckend wenn auf einmal der Warenkorb sich selbst füllt und das man etwas tut. Was ist da los mit dem Modified?

Linkback: https://www.modified-shop.org/forum/index.php?topic=34679.0

[remo]

Schade das solch eine massive Sicherheitslücke keine Beachtung findet.
Ich will nicht ausschließen das mein PC gestern Virenfrei war. Aber das ist  doch trotzdem ein DING der Unmöglichkeit.

[burrito]

Hallo remo,

was bedeutet: "über meinen Produkt Link"?
Woher kommt der Link? Hast Du ihn per Mail verschickt, ist er im Shop oder sonst irgendwo im Internet?

Wenn Du nicht angemeldet bist und verwendest den gleichen Link, bist Du dann auch angemeldet?

Hat der Kunde Dir berichtet, was passiert ist oder hast Du das irgendwie mitbekommen? Wie bist Du darauf aufmerksam geworden? Woraus schließt Du, dass das Login genau beim Klicken auf den Link passiert ist?

burrito

[remo]

Ich schicke im angemeldeten Admin Zustand dem Kunden immer Links. Ohne MODsid Sessions natürlich.

Der eine Kunde öffnete den Link und war eingeloggt. Ich ja auch, ich sah dann wieder sich der Warenkorb füllte. Vorher wunderte ich mich warum ich anstatt einer Bestellmail 2 bekam.

Das ist echt ein Ding oder was.

[webald]

1. Kannst Du mal so einen Link senden? ggf. auch ans Team zum prüfen?
2. Unter http://www.modified-shop.org/forum/index.php?topic=34514.msg314576#msg314576 hast Du geschrieben, dass Du am Admin gebastlet hast. Evtl. etwas verbastelt?
3. Wo genau wird der Link erzeugt? Wie kommt der Link in die Email?

[remo]

Den Link möchte ich nicht offiziel preisgeben, zwecks Google

Verbastelt habe ich nichts..
Ich habe den Link dem Kunden geschickt und vorher aus meinen Shop kopiert.

[thomas57]

Hallo Remo,
kann ich nicht nachvollziehen. Habe gerade einen Link verschickt, mit meinem Mail Programm, nicht aus dem Shop als Newsletter.
Habe Version 1.06 sp3.
Gruß Thomas 

[burrito]

Wenn Du nicht angemeldet bist und verwendest den gleichen Link, bist Du dann auch angemeldet?

Hast Du das getestet?

burrito

[remo]

ja das ging auch

[burrito]

Der Fehler ist ja gestern aufgetreten.

Wenn es ein Session-Problem war, dann ist die Session heute auf alle Fälle tot.

Wenn Du den Link, den Du gestern dem Kunden geschickt hast heute nochmal verwendest, wirst Du dann noch immer angemeldet?

Wenn Du den Link hier wegen Google nicht veröffentlichen willst, dann kannst Du ihn natürlich durch Leerzeichen auch für Google zerstören. Allerdings könnte sich dann jeder andere auch über den Link bei Dir als Admin anmelden!

Kannst Du aber mal einen normalen Link zu Deinem Shop posten? Auch hier kannst Du ihn ja durch Leerzeichen/Sonderzeichen für Google unkenntlich machen.

burrito

[remo]

das kuriose ist den link hat der kunde bereits am 31.03. bekommen.
was wollt ihr anhand des links erkennen?

seht ihr mehr als ich

[p3e]

Du beschreibst etwas, was wir nicht nachstellen können und was es scheinbar bei unserem Shops nicht gibt.
Auch ich verschickt Links seit Jahren an meine Kunden und noch nie gab es dabei so ein Problem.
Deshalb finde ich es völlig normal, dass du jemanden der dir helfen will, den Link um den es geht zur Verfügung stellst.

[remo]

Wenn ich die Domain weiterhilft, ich glaube es zwar nicht.

http://tinyurl.com/jxpwe3w

[webald]

... In der URL war auch keine Mod-Sid nicht. ...

Die hängt aber in Deinem Shop überall dran. Und wenn Du einen Link verschickst und den aus dem Shop kopierst, dann kann folgendes rauskommen:

Code: PHP  [Auswählen]

<a href="https://www.rekubik.de/zubehoer/ersatzhahn/ibc-schuetz-klappenhahn-dn-50-o-s75x6-alu.html?MODsid=r2e30p5437h8c12m2m16u4vfa7">https://www.rekubik.de/zubehoer/ersatzhahn/ibc-schuetz-klappenhahn-dn-50-o-s75x6-alu.html</a>

In Deinem Emailtext ist dann zwar keine MODsid sichtbar, aber immer noch hinterlegt.

[remo]

überzeugt euch selbst vom gegenteil. auszug der mail aus thundebird.